Pour gérer vos consentements :

Phishing : SaaS et webmails deviennent les premières cibles

L’Anti-Phishing Working Group (APWG) vient de publier son dernier rapport pour le premier trimestre 2019 qui consacre une nouvelle tendance pour le phishing.

Pour la première fois, la plus grande part (36%) des attaques de ce type ont ciblé des plateformes software as a service (SaaS) et des webmails, devançant la catégorie des services de paiement qui totalise 27 % des attaques enregistrées au cours de la période.

« Les hameçonneurs sont intéressés par le vol de logins vers les sites SaaS parce qu’ils fournissent des données financières et des données sur le personnel, qui peuvent être utilisées pour le spear phishing”, analyse Greg Aaron, chargé de recherche principal pour l’APWG.

HTTPS utilisé comme leurre

Le nombre total de sites d’hameçonnage détectés au premier trimestre était de 180.768, ce qui représente une hausse sensible par rapport au quatrième trimestre 2018 (138 328 sites recensés). L’autre enseignement du rapport de l’APWG est la sophistication croissante des attaques par phishing.

Désormais, les cybercriminels ont massivement recours à des sites piégés utilisant le protocole HTTPS afin de tromper plus efficacement leurs victimes en leur faisant croire qu’elles visitent un site digne de confiance.

Selon les statistiques de PhishLabs citées dans le rapport, 58 près de 60% des sites de phishing répertoriés au premier trimestre utilisaient l’HTTPS.

Des techniques de phishing plus sophistiquées

Les techniques de phishing ne cessent de se sophistiquer. Zscaler a récemment relevé cinq nouvelles techniques sophistiquées  dites « d’évasion » et d’ « anti-analyse ».

Accès unique à la page de phishing :  Chaque fois qu’un client visite ces pages de phishing, son adresse IP est vérifiée par rapport à la liste des adresses IP des clients qu’il a visités précédemment. En fonction des résultats de cette vérification, l’accès à la page de phishing est soit accordé, soit un message « Page introuvable » s’affiche, soit le client peut être redirigé vers d’autres sites.

Vérification du Proxy à l’aide de services en ligne : Récemment, de nombreux kits de phishing comprenaient une liste codée d’adresses IP, d’agents utilisateurs et de noms d’hôtes, tous blacklistés, que les chercheurs en sécurité et les entreprises de sécurité utilisent. Si le client tente de se connecter avec une adresse IP ou un agent utilisateur sur cette liste noire, le contenu de phishing ne sera pas diffusé. Dans certains cas, en plus de la liste des adresses IP codées, l’adresse IP du client est vérifiée à l’aide de certains services en ligne pour déterminer s’il s’agit ou non d’un proxy.

–  Création d’un nouveau répertoire de noms aléatoires à chaque visite : certaines campagnes de phishing créent systématiquement un nouveau répertoire de noms aléatoires et la page de phishing est hébergée sur ce répertoire aléatoire

Création d’un nouveau fichier de noms aléatoires à chaque visite : Quelques kits de phishing créent un nouveau fichier de noms au hasard à chaque visite, ce qui rend difficile l’identification du site comme étant un site de phishing.

Valeurs aléatoires pour les attributs HTML à chaque visite : Pour rendre une page de phishing difficile à analyser et à détecter, les valeurs de page des attributs HTML sont générées de manière aléatoire à chaque visite.

Recent Posts

La Fondation Linux a fait son choix pour remplacer Redis

La Fondation Linux apporte son soutien à Valkey, un fork de Redis qui vient d'émerger…

2 heures ago

Quels sentiments animent la communauté OpenAI ?

Le contenu du forum officiel de la communauté OpenAI donne des indications sur les points…

3 heures ago

Emmanuelle Olivié-Paul — AdVaes : « Le premier enjeu du scope 3 c’est d’avoir les données pour faire une évaluation »

Dans une interview accordée à Silicon, Emmanuelle Olivié-Paul, présidente-fondatrice du cabinet de market intelligence AdVaes,…

3 heures ago

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

20 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

20 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

24 heures ago